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Abstract of DE1 01 31 254 

The invention relates to a method for verifying the 
authenticity of a franking note placed on a postal 
article. According to the invention, cryptographic 
information contained in the franking note is 
decoded and used for verifying the authenticity of 
the franking note. The inventive method is 
characterized in that the reading unit graphically 
records the franking note and transmits it to a 
verification unit and in that the verification unit 
controls a sequence of partial tests. 
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Die folgenden Angtbrn slnd dm vom Antiwktar efngera tchte n Unterli 

® Verfehren zum Oberprufen der Guttigkeit von digitalen Freirnachungsvermerken 

© Die Erfindurig betrifft ein Verfahren zur Oberprufung 
der Echtheit eines auf einer Postaendung aufgebrachtan 
Frelmachungsvermarka, wobel Indem Frelmachungaver- 
merk enthaltene kryptographleche Knformatlonen ent- 
schlDseelt und zur Oberprufung der Echtzeft dee Frelma- 
chungevermerkee efngesetzt warden. 
ErfindungsgemSB zeichnet alch daa Verfahren dadurch 
a us, dasa die Leaeelnhett den Fref machungavermerk gra- 
phiach erfaaat und an elne Oberprdfungaefnhert Qbermft- 
tett und daaa die OberprOfungeeinheJt elnen Ablaut von 
TellprOfungen ateuert 
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Beschreibung 

[0001] Es ist bekannt, Postsendungen mit digitalen FreimachungKVcnncrken zu versehen. 

[0002] Um den Absendem der Postsendungen die Erzeugung der Fieimachungsveimerke zu erieichtem, ist es bei- 
5 spiels weise bei dem von der Deutschen Post AO eingesetzten Prankieningssystem mdglich, Fieimachungsvermerke in 
einem Kunden system zu eizeugen und uber eine beliebige Schnittstelle auf einen Drucker auszugcben. 
[0003] Um einen Missbrauch dieses Verfahrens zu venneiden, enthalten die digitalen Frdmachungs vennerkc krypto- 
graphische Informationen, beispielsweise fiber die Identitfit des die Erzeugung des I^tnachungsvtauierkes steuernden 

10 [0004] Der Erfindung liegt die Aufgabe zugrundc, cin Verfahren zu schaffen, rrrit dem die Echtheit der Frcimachungs- 
vermerke schneil und zuverlfissig uDerpruft werden kann. Insbesondere soil sich das \fef ahren fur eine tJberprUfung in 
einem Grofiserieneinsatz, insbesondere in Brief- oder Frachtzentren, eignen, 

[0005] ErfindungsgemflB wird diese Aufgabe daduzch geldst, dass die Leseeinheil den Fieimachungsvermerk gra- 
phisch erfasst und an eine Gberprutnngseinheit (ibermittelt, und dass die tTbeapriifirngseinheit einen Ablauf von Teilprfi- 
15 fungen steuert 

[0006] Es ist besonders zweckmaBig, dass one der TeilprOfungen die Entschlusselung der in dem Freimach u ngsver- 
merk enthaltenen kryptograptdschen Informationen beinhalteC 

[0007] Dutch die Integration der Entschlusselung der kryptograptdschen Informationen in den Priifungsprozess ist es 
mOglich, die Echtheit der Freimachungsvermerke unmittelbar zu erfassen, so dass eine Cberprufung online - insbesoo- 

20 dere wanrend des Beaibeitungsverlaurs der Fostsendung in einer Bearbdtungsmaschine - erfolgen kann. 

[0008] Ferner ist es voiteilhaft, dass eine der Teilprurungen einen Vergleich zwischen dem Erzeugungsdatum des Frei- 
machungsvermerks und dem «Wi™»ll«i Datum beinhaltet Die Integration des Erzeugungsdaturns des Freimachungsver- 
merks - insbesondere in verscblusseller Form- erhSht die Datensicherhcit, da durch den Vergleich zwischen dem Erzeu- 
gungsdatum des Freimachungsvermerkes und dem aktuellen Datum eine mehrfache \ferwendung eines Freimachungs- 

25 vermerks zur Befordeiung von Fostscpdnngen verrnieden wild, 

[0009] Zur wedteren Erhohung der Obeipriifungsgeschwindigkeit ist es varteilhaft, dass die Leseeinheit und die Uber- 
prufungseinheit mittels eines synchronen Protokolls Informationen austauschen. 

[0010] In einer anderen, gleichf alls zweckm&fiigen Ausfuhrungsform der Erfindung, kommuxdziercn die Leseeinheit 
und die Uberpnlfungseinheit uber ein asy nchrones Protokoll rmtemandez 
30 [0011] Hierbei ist es besonders zweckmaBig, dass die Leseeinheit ein Datentelegramm an die tJbeiprutungseinheit sen- 
deL 

[0012] Yorzugsweise enthalt das Datentelegramm den Inhalt des Freimachungs vermerks. 

[0013] Weitere Vbrteile, Besonderheaten und zweckrn§Bige Weiterbildungen der Erfindung ergeben sich aus den Un- 
teransnrochen und der nachfblgenden Daratellung bevoczugter Ausfuhrungsbeispiele anband der Zeichnungen, 
35 [0014] Von den Zeichnungen zeigen 

[0015] Fig. 1 eine Prinzipdarstellung von Systemkomponenten eines Entgeltsicherungssystems; 

[0016] Fig. 2 eine besonders bevarzugte AusfUhrungsfoim des Entgettsicheiungssystems, Handscanner und Entgeltsi- 

cherungs-PC); 

[0017] FTg. 3 «n<> PrinyipHnrRteliung einer Erzeugung und ttberprilfung von Fwrimachunasvernierkcn. 
40 [0018] Fig. 4 eine Obersicht uber Komponenten des Krypto-Systems; 

[0019] Fig. 5 eine bevorzugte Durdifuhrungsform des Uberprflrungsverfiihiens; 

[0020] fig. 6 eine weitere besonders bevorzugte Ausfunrungstbrm des Oberprufungsverrahrens mit einem besonders 
bevorzugten Ablauf von Teilprufungcn; 

[0021] Fig. 7 einen bevorzugten Ablauf einer Verteilung von Schlusseln zwischen einer zentralen Ladestelle (Postage 
45 Point) und einzelnen kryptographischen tJbernn^fungseinheiten (Crypto Server). 

[ 0022 ] Nachfolgend wird die Erfindung am Beispiel eines PC-Freimachungssystems dargestellt Die zur Entgeltsicfae- 
rung dienenden Verfahrcnsschrittc sind dabei unabhangig von dem zur Erzeugung der Freimachungsvermerke eingesetz- 
ten System. , m 

[0023] Die daigestellte dezentrale t^berprUfung an einzelnen KontroUstellen, insbesondere in Briefzentzen, ist beson- 
50 ders bevorzugt, jedoch ist eine zentralisierte tJberpiufung gLejchennaBen mbglicfa, 

[0024] In einer ersten Ausfuhrungsform der Erfindung erfolgt vorzugsweise eine Oberprufung der Echtheit der Frei- 
machungsvermerke sdchprobenweise durch cinzelne Scanner 

[0025] Ein trieizu geeignetes t)ben^rutungssystetn enthalt vorzugsweise die in Fig. 1 dargestellten Komponenten, 
[0026] In Fig. 1 ist dargestellt, mit welchen leilsystemen das Krypto-System in Bemehung stent Sic werden im Fol- 
55 genden kurz beschrieben. 

Scanner 

[0027] Die Scanner ctienen zum Einlesen des Frankierungsvermerks der PC-Frankierung. Bei den Frankierungsver- 
6o merken handelt es sich um 2D-Codes im Format Datamatrix, mit der verwendeten Fehlerkorrektur BCC200. Je nach 
Scannertyp weiden die Daten per Funk oder per Kabel ubertragen, wobei die Funkscanner Uber ein mehrzeiliges Display 
und damit uber eine Ausgabemognchkeit und einen Touchscreen, bezjehungsweise eine Tastatur zur rudimentaren Ein- 
gabe verfugen. Die Schnittstelle zwischen den Scannem und den restlichen Systemen des bevorzugten Entgcltaichc- 
rungs-PC-FranJderung-Systems bilden der Scanner Controller und der Validation-Controller als Komrxjoenten. Wfihrcnd 
65 der Scanner-Controller eine Queue von Matrixcodes verwaltct, die Obex den Handscanner kommend zur Priming anste- 
hen und im VVesentlichen den Kontakt zu den Scannem autrechtemalten, ist ex mit den weiteren System nur flber den Va- 
lidation-Scanner in Kontakt 
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Scanner Controller/VaHdation-Controller 

[0028] Scanner Controller, beziehungsweisc Validation-Controller, dienen als Schnitts telle zwisches den Scannem 
und den weiteien Systemen zur tJberprQfung der 2D-Barcodes. Ihnen wird der aus der optischen Erfassung umgewan- 
delte und fehlerkorrigierte 2D-Barcodeinhalt ubemrittelt, und sie veranlassen darauftun die tJbernrQrung und sorgen im 
Falle der Funkscanner fur eine Ausgabe des Lese- und Prufergebnisses, und dienen als Schnittstelle zwischen eventudl 
notwendigen manuellen Nachbearbeitungen und Prurungen des Priifers und den ubrigen Systemen. 

Krypto-System 

[0029] Das Krypto-System sorgt fur die inhaltliche und taryptographiscne OberprOfung des 2D-Barcodeinhaltes sowie 
rur die geschtitzte Speicherung mcherbeitsrBlevantBrDaten und Algorithmen. Auf die einzelnen Komponenten wird spS- 
ter eingegangen. 

GebunrenbetragBladestelle (Postage Point) 

[0030] Die Gebtihrenbetragsladestelle (Postage Point) ist das zenirale System innnrhalb der PC-Fnuilrierung. Sie dient 
als Schnittstelle zu den Kundensystemen, \fon ihr koonen die Kunden VbrgabebetrHge zur anschlieBenden Pranlderung 
entladen. Auf der Gebflhrenbetragsladestelle (Postage Point) werden die Schlttssel zur Absicherung des Vcrrahrens ge- 
nerierL Femer dient sie als Schnittstelle zu den Abrecnnungs-Systemen. Folgende Schnittstellen werden zu dem bevojv 
zugten Entgeltaicberungssystem zur PC-Franlderung bereitgestellt: 

- Seodurigsinfonnatiorien Uber den 2D-Barcode 

- Symmetrische Schlussei 

wie zum Beispiel Vargabebetrflge, Kontostande 



Bevorzugte Bntgeltsicherung Zentral 

[0031] In dem bevarzugten Entgeltsichenings-Zenh-al-System werden die sendungsbezogenen Inform ntinnen gesam- 
melt und anderen Systemen zur Yerf&gung gestellt Hier findet die Erstellung der Produktionsberichte statt, die wiederum 
zur Erstellung der Negativdateien fUhren. Weiterhin ernSit das Entgeltsicherungs-Zentral-System von der Gebphrenbe- 
tragsladestelle (Postage Point) die aktuellen Schlusseldaten und leitet diese an die einzelnen Krypto-Server weitex 

Datenlieferanten 

[0032] Zur inhaltlichen tJbeiprQrung der 2D-Barcodes sind eine Reihe von Stamrndaten notwendig, wie zum Beispiel 
Negativdateien, Mindestentgelte, Gultigkeitszeitr§ume in Relation zu dem Produkt und Entgeltaicherung- vifcrnungs- 
und Folgeverarbeitungscodes. Diese Daten werden aus unterschiedlicnen Systemen (BDH, VIBMS, lokalcs Entgdtsi- 
cherungs-System) berritgestellL 

Entgeltaicherung-Anwendung 

[0033] Mit der Entgeltsicherung-Anwendung bat der AGB-Prtlfer, der die ausgeschleusten PC-FrcimachungB-Scndun- 
gen nachbearbeiten muss, die Mttglichkeit, eine detailliertere tJberprufung der Frankierung vorzunefamen, bed der die 
Darstellung der PrUfergebnisse nicht durch begrenzte Ausgabe tnoglichkeiten des Scanners eingeschrankt wird. Zusfltz- 
lich kann der Prufer trier auch weitere Daten, wie den GOldgkeitszeitraum des Portobetragcs, auf weichen sich die aldu- 
ellc Sendung bezieht, sowie den Betrag und die in Anspruch genomznenen Frankicrungen einsehen. 

Automatische Erf as sung der 2D-Baicodes 

[0034] Die automata sche Erfassung der 2D- Barcodes erfolgt innerhalb der SSA. Hierzu werden die Bildinfonnationen 
an den AFM-ZD-Code-Leser weitergeleitet Dart erfolgt die Kmvertierung des Bildes in den Inhalt des Datamatrixco- 
des. Im Anschluss daran wird der 2D-Barcodeinhalt an das Krypto-System zur Prufung ilbernritteu, das zuruckgegebene 
PrOfergebnis ausgewertet und an das optische Erfassungssystem (MM) zur Ctodierung der Sendung UbermittelL Bevor- 
zugte Bestandteile eices ckrart erweitcrten Oberprflfungsverfahrens sind in FIa> 2 dargestellL 

A3M-2D-Code-Leser 

[0035] Pro Lesemaschine (ALM/ELVM) existiert ein AFM-2D-Code-Leser, der uber ein optisches Errassungssystem 
(IMM) die Bilddaten der Sendungen erhfilt und fUr Entgeltsicherungszwecke welter verarbeiteL Im Rahmen von bevar- 
zugter Erjlgeltsicherun gs-PC-Frankierung bedeutet dies im Falle eines erkannten 2D-Codes, dass aus den Bilddaten der 
2I>Datamatrixcode extrahieit und unter Zuhilfenahme des Fehlerkorrekturverfahrcns ECC200 in eine Bytekette umge- 
wandelt wird, die den Inhalt des 2D-Barcodes darstellL 

[0036] Diese Bytekette wird an den Validation Controller zur OberprOfung Gbergeben. Das PrOfergebnis wild anschlie- 
Bend fiber die Schnittstelle des optischen Erfassungssystems weitergeleitet und dart zur Codierung verwendet 
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Krypto-System fur AFM-2D-Code-Leser 

[0037] Jc nach Eigenschaften der Kryptokarten kann beispielhaft mit ctwa 27 PrUfungen pro Sekunde gerechnet wer- 
den. Da die Kate der Lesemaschinen bei etwa 10 gelesenen Sendungeo pro Sekunde liegt, erscheint es nicht sinnvoll, je- 

5 den der AFM-2D-Code-Leser mit einem Krypto-System zu kombirrieren, Hinzu kommt, dass auch nicht davon anszuge- 
heri ist, dass FC-F-Sendungen zu hundert Prozent auf alien Maschinen glcichzeitig produzicrt werden. Es erscheint daher 
sinnvoll, die Krypto-Systeme zu separieren und mehrere PC-F-Leser mit einem Krypto-System zu betreiben. Die Losung 
sollte dabei so gewMhlt sein, dass sie sich skalieren lfisst, also mehrere Krypto-Systeme pro Brietzentrum rnog ti c h sind. 
Dies ist zum Beispiel fur Briefzentren mit einem hohen S eodungs aufkornmen und einer hohen Anzahl LesemaseMnen 

10 relevant, bei deoen initial ein zweites Krypto-System vorgesehen werden kann. Zudem kann sp9ter im Betrieb die An* 
zahl Server bei entsprechendem Bedarf erhoht werden. 

[0038] Die Architektur ist zur Aferringerung der Kornplexitat dabei vorzugsweise so zu wfihlen, dass die emzelnen Le- 
semaschinen einem Krypto-System rest zugeordnet und eventnell noch urn eine zusfitzliche Fallback- Konfiguration er- 
weitert werden, die im Pehlerfalle versucht, auf ein anderes Krypto-System auszuwedchen. 
15 [0039] Die Trennung von Krypto-System und AFM-2D-Code-Leser bringt zudem den Vxteil, dass sowohl die Ma- 
schinenlesung als auch die Handscanuerpitlfung mit dem gleichen Krypto-System erfblgen kann, und deshalb die gleiche 
Funktioo nicht doppelt zu irnplementieren ist, was zusatzlich auch wesentlkhe \fcrteUe bei der Implementation der Br- 
fi ndi i p g bietet. 

[0040] Bevorzugte Verfahrens schritte zum Versehen einer Postsendung mit einem digitalen Freirnachungsvermerk 
20 nach Laden eines GebQhrenbetrages von einer zentralen Ladestelle (Postage Point) und Erzeugung des Framachungs- 
vermerks durch einen lokalen PC sowie anschliefieoder Einlieferung der Postsendung und Oberprufung des auf der Post- 
sendung aufgebrachten Freixnachungsvermerks, sind in Fig, 3 dargestellt 

[0041] Unabhangig von der Schltissel verteilung erfolgt der Ablauf so, dass ein Kunde zuerst einen Portobetrag auf sei- 
nen PC ladL Zur Kennzeichnung der Anfrage wird dabei eine Zuf allszahl generierL Auf der Gebfflirenbetragsladestellc 

25 (Postage Point) wird ein neuer Portobetrag zu dem jeweiligen Kunden erzeugt und aus der Qbermittelten Zufallszahl, 
weiteren Infctrmationen zu der IdentMt des Kundensystems (die Ktmdensy stemidfinti flkati ons angabe, nachfblgeod Po- 
stage ID genannt) und zu dem Portobetrag wird der sogenannte Cryptc«tring erstellt, der mit einem auf der GcbOhrcnbe- 
tragsladestelle (Postage Point) existierenden geheimen symmetrischen SchlDssel verschlOsscll wird. 
[0042] Dieser Cryptostring und der entsprechende Portobetrag werden ansrhlietoid auf den Kunden-PC ubertragen 

30 undzusammen nrit der Zufallszahl in dessen "Safe-Box" sicher var ungewollten Zugriflfen abgelegt 

[0043] Wird von dem Kunden im Anschluss an diesen Vbrgang mit dem erhaltenen Portobctrag cine Fort-Sendung 
rrankiert, so werden die fUr den 2D-Barcode relevanten Sendungsdaten, unter anderem &yptc«tiing, Frankicrdatum und 
Frankierbetrag, urn die Zufallszahl erweitert und die Postage ID in unverac hlflsselt e r Form gesammeli, und es wild ein 
Hashwert earsteUt, der den Inhalt eandeutig kennzeichnet 

35 [0044] Da die Zuf allszahl in verschlOsselter Form innerhalb des Cryptostrings sowie in unverschlUsselter Form inner- 
halb des Hashwerts vorliegt, wird sichergestelli, dass die Sendungsdaten nicht verfindert, beziehungsweisc wiUkOdich 
generiert werden konnen, und es wird ein Ruckschluss auf den Ersteller mdglich. 

[0045] Die relevanten Daten zur Sendung werden dann anschlieBend in einen 2D-Baicode umgewandelt und als ent- 
sprecbendes Frankierungskennzeichen durch den Drucker des Kunden auf die Sendung gedruckt. Die fertige Sendung 

40 kann daraufhin in den Postkreislauf gegeben werden. . c 

[0046] Bei einer besonders bevorzugten Ausflmrungsform der Entgeltsicherung wird der 2D-Barcode in dem Bnefzen- 
trum von einem AFM-2D<bde-Leser, beziehungsweise von einem Handscarmei; gelesen und anschlieBend gepr Oft Di e 
darnit verbundenen Prozessschriue werden in der Abbildung unter den V^rgangsnummern 5-8 deutlich. Zur Ubcrpru- 
fung der Korrektheit des 2D-Barcodes flbergibt der AFM-2D-Code-Leser die kompletten Sendungsdaten an das Krypto- 

45 System. Dort wird eine in den Sendungsdaten enthaltene kryptographische Information, msbesondere des Cryptostringi 
entschlusselt, urn die bei der Erstellung des Hashwertes verwendete Zutallszahi zu errmtteux 

[0047] Anschliefiend wird ein Hashwert (auch Message Digest genannt) zu den Sendungsdaten inklusive der ent- 
schlusselten ZufallszahL ernri ttelt, und es wird flberprilft, ob das Ergcbms mit dem im 2D-Barcodc enthaltenen Hashwert 
identisch ist „ 
SO [0048] ZusStzlich zu der kryptographdschen Validienmg erfolgen noch weitere inhaltliche Prirmngen (Vorgangsnum- 
mer 7b), die zum Beispiel die doppelle Verwendung eines 2D-Barcodes ausschliefien, beziehungsweisc prufen, ob der 
Kunde durch Betrugsversuche auffallig wurde und deswegen auf einer Negati vdatei gelistet isL 

[0049] Das entsprechende PrQfergebnis wird daraufhin an den PC-F-Leser abermittelt, der das Ergebms an das opti- 
sche Erfassungssystem (IMM) zur Codierung des Barcodes weiledeitet Der Barcode wird im Anschluss auf den Brief 
55 gespritzt und die Sendungen werden bei einem negativen Prufcrgebnis ausgeschleusL 

Kiypto-Systern-Architektiir 

KompcoentenUbersicht 

60 

[0050] Fig. 4 gibt eine Obersicht fiber die Ibilkornponenten des Krypto-Systems, wobei die beschrifteten Pf ejleB in- 
und Ausgabedatenstrdrne zu exteroen Systemen darstellen. Da das bevorzugte Entgeltsicherung Zentral-System als 
Drehscheibe bei der Verteilung der Schlussel der Gebahienbctragsladestelle (Postage Point) an die Krypto-Systeme der 
lokalen Entgeltsicherungssysteme verwendet wird und diese Daten zwischengespeichert werden mussen, ist dort jedoch 
65 der Validation Controller in der Kegel nicht genutzt wird. 

[0051] Die TeUkomponenten des Krypto-Systems werden im Folgenden detaillierter bescb r iehen. 
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Validation Controller 

[0052] Der Validation Controller stcllt die Schnittstelle zur tJberprafung des kompletten 2D-B arcodci nhalts dan Die 
tJbexpriifung des 2D-Baicodes bestefat aus einer inhaltlichen und einer kryptqgraphiachen ObeiprOfung. Zu diesem 
Zweck sollte der eingelesene 2D-Baicodeinhalt der Scanner durch den Scanner Controller an den Validation Controller 5 
weitergeleitet werden. 

[0053] Da sich der verantwortliche Scanner Controller fttr den drahtgebundenen Scanner und der Validation Controller 

auf untersctriedlichen Rechnersystemen betuiden, ist eine TCP/EP-basierte Komrnnnikation zwischen ihnen vorzusehen, 

wobei stall reiner S ocket- Program nrierung der Einsatz eines darauf aufsetzenden Proto tolls Vbrteile bietet Im Ra hm e n 

des Krypto-Systerns komrnen bier der innerbalb der Betriebsdatencxassung (BDE) verwendete Tblegranmunanager oder to 

das im Rahmen des optischen Erfassungsystems verwendete Protokoll wie Corba/HOP in Frage. 

[0054] Der Validation Controller initiiert die einzelnen Priifroutinen, die wiederum ihre Prufergebnisse an ihn zuruck- 

Obermitteux 

[0055] Da mebrere AGB-Prtiter mil unterschjedlichen Scannem gleichzeatig tfitig werden. ist der ^falidatinn Controller 
"multiscssions-farng" auszulegen. Das heiBt, er muss glekhzeitige Prtlfanfragen bewerkstelligen und die entsprechende is 
Ausgabe auf den ricbtigen Scanner lenken kooncn. Zudem sollte er so ausgelegt werden, dass er gleichzeatig mehrere 
Prufarjfragen, so wie einen Teil der Prufungsschritte, zum Beispiel Hashwertprufimg und Mindestentgeltpriifung, parallel 
dazu ausfQhren kann. 

[0056] Zu Beginn einer Sitzung wird dem Controller mitgeteilt, mit welchem iyp von Scanner er komrnurriziert, und er 
bekommt eine MOglichkeit zugeordnet, per CallB ack-Methodc, Routinen zur Ausgabe und zur manuellen Nacnprufung 20 
anzusteuern. Je nach Betriebsart und Scarmertyp werden die Ergebnisse dann entweder auf dem Funkscanner oder dem 
Entgeltsicherung-System ausgegeben, sowie xnanuelle Prufergebnisse erfasst 

KryptoKarte 

25 

[0057] Eine besondere Problematik liegt in der Aufbewahrung des Schlussels, mit dem der Cryptostring in einem ZD- 
Barcode verschlOsselt und zur PrUfung wieder entschlOsselt werden muss. Dieser Schlussel stcllt die Ffflschungssicher- 
heit der 2D-Barcodes sicber und deshalb darf es rricht mSgtich sein, ihn auszuspionieren. Daher muss durcfa spezielle Si- 
cheibeitHmaBnahmen gewShrieistet sein, dass dieser Schlussel niemals im Klartext auf der Festplatte, im Speicher oder 
bei der Obertragung sichtbar und zudEm durch starke kiyptographische Vferfahren abgesicheit ist 30 
[0058] Rein Software basierte Losungen bringen hier keine zuverlSssigc Sicherheit, da an irgendeiner Stelle im System 
doch cin Schlussel im Klartext erscheint, oder der Schlussel mit einem Debugger im Klartext im Speicher ausgelesen 
werden konnte. Diese Gef abr besteht vor allem auch dadurch, dass die Systems remote adrmnistriert werden krkmen, be- 
ziehungsweise zwecks einer Separatur eventuell aufier Hans gegeben werden. 

[0059] Zudem erzeugen die kryptographischen Verfahren eine hohe Last auf dem Prozessor des Systems, der im Hin- 35 
blick auf die durchzufilhrenden Operationen nicht optirrdert ist 

[0060] Bs empfiehlt sich daher der Ttinaaty. einer Kryptoprozessorkarte mit fblgenden Kennzeichen: 

- Spezieller Kryptoprozessor zur Beschleunigung von kryptographischen Vferfahren 

- Abgeschlossenes Black-Box-System zur Verhmderung des Zugriffs auf steherheitskritische Daten und Verfahren. 40 

[0061] Bei den Karten, welche diese Kennzeichen erfullen, handelt es sich urn antarke Systeme, die je nach Ausfuh- 
rung Uber den PCI- oder den ISA-Bus mit dem Rechner verbunden sind und uber einen Ddber mit den Softwaresyste- 
men auf dem Rechner kommuniyieren. 

[0062] Neben batteriegepuffextem Hauptspeicher besitzen die Karten auch einen Flash-Rom-Speicher, in dem ein in- 45 
dividueller Anwendungscode gespeichert werden kann. Der direkte Zugriff auf den Hauptspe ich e r der Karten ist von den 
auBeren Systemen nicht mogticn, wodurch eine sehr hohe Sicherheit gewShridstet ist, da weder die ScrjlOsseldaten noch 
die kryptographischen Verfahren zur Bereitstellung der Sicherheit anders als Uber den gesicherten lreiber greifbar sind. 
[0063] ZusStzlich uberwachen die Karten mittels eigener Sensoren, ob Manipulanonsversuche varliegen (je nach Kar- 
tenausfUhrung, zum Beispiel lemr^raturspitzen, Strahlung, Qtroen der Schutzabdeckung, Spannungsspitzen). 50 
[0064] Liegt ein solcher Manipuladonsversuch vox, so wird der batten egepuffertc Hauptspeicherinhalt sofort gelBscht 
und ein Shutdown der Karte a^uxhgefuhrt 

[0065] Pur den Crypto Server sollte die Funktion zur Entschlusselung der Postage ID, die Funknon zum Prufen des 
Hashwertes, sowie die Fnnktion zum Imrxntieren von Schlusseldaten direkt auf die Karte geladen werden, da diese Rou- 
tinen cine hohe Sicherheitsrelevanz besitzen. 55 
[0066] Ferner sollten alle kryptographischen Schlussel, sowie die Konfigurationen von Zertifikaten, die zur Durchfuh- 
rung der Authentisierung notwendig sind, ebenfalls im batteriegepufxerten Speicher der Karte gesichert werden. Vferfugt 
die Karte Obex nicht genugend Speicher, so earisuert auf der Karte in der Kegel ein Master Key, mit dem die oben anfge- 
fflhrten Daten verschlOsselt werden und anschliefiend auf der Festplatte des Systems abgciegt werden konnen. Dies er- 
foidert jedoch, dass vor Benutzung dieser Informations die Daten zunachst wieder entschlDsselt werden. 60 
[0067] Die folgende Tabelle gibt eine tJbersicht der in Frage kommenden Kartenmodelle unterschjedKcher Hersteller 
und nennt gleicbzeitig ihre Zertifizietungen, 
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Kryptokarteo fur dm P.inggty. innerhalb des bevorzugten Entgeltsicherungs-Systems fur die PC-Frankierung 





Herateller 


Typbezeichnung 


Zertif izierung 


s 


IBM 


4758-023 


PIPS PUB 140-1 Level 3 
und ZKA-eCash 




IBM 


4758-002 


PIPS PUB 140-1 Level 4 


10 






und ZKA-eCash (voraus. 






07/2000) CCEAL 5 
(angeetrebt, z.Zt. in 


IS 






Zer t i f i z i erungsphaae ) 


Utiraaco 


KryptoServer 


ITSBC-E2 und ZKA-eCash 




Utiraaco 


KryptoServer ^ 2000 
(verffigbar ca. 1Q/01) 


FIPSPUB 140-1 Level 3, 
ITSBC-B3 und ZKA-eCash 


20 






(angestrebt) 




Racal/Zaxus 


webS entry PCI 


PIPS PUB 140-1 Level 4 



25 [0068] Neben der Erfulliing der an die Karte gesteliten Aiifbrderungen ist es wegen der gewunschten Zeidfiziening 
durch das BSI auch sehr wichtig, welche Zertifizierungen die einzelnen Modelle zur Zeit besitzen und welcbe Zertifizie- 
rungen sich zur Zeit im Evaluationsprozess befindea, 

[0069] Fur die Produkte ausgestellte Zertifikate unterteilen sich dabei in die drei von unterschiedlichen Zertifizierungs- 
stellen vorg prymm iiff itm Bin s t ufij ng ea» 

30 [0070] Die ITS EC ist ein von der Europaischen Kamnrission veiOffentlichtes Kriterienwerk zur ZflrHfizierung von IT- 
Produkten und IT-Systemen im Hinblick auf deren Sicherheitseigenschaften. Die \fertraucnswurdigkdtsbcwertung rich- 
tet sich nach den Stufen EObis E6, wobei EO unzureichende und E6 hSchste Sicherheit bedeuteL Bine Wciterentwick- 
lung und Hannonisierung nrit Mhnlichen internationalen Standards sind die CC (Common Criteria), die sich zur Zeit in ei- 
nem S tandardisierungsprozess bei der ISO (ISO Norm 15408) befinden. Dieses Regelwerk wild zur Bewertung der Si- 

35 cherheit des Systems herangezogen. 

[0071] Es gibt zur Zeit noch kein Produkt aus obiger Tabelle, das fiber ein Zertifikat nach CC verfOgt. Das IBM-Mcdcll 
4758-002 befindet sich jedoch zur Zeit in einer solchen ZpiTtiflzierungsphase. 

[0072] Der Standard FTPS PUB 140-1 ist ein von der amerikamschen Regierung herausgegebenes Kriterienwerk zur 
Beurteilung der Sicherheit von kommerziellcn kryptographischen GerSten. Dieses Kriterienwerk orientiert sich sehr 
40 stark an Hardwareeigenschaftcn. Die Bewertung erfolgt in 4 Stufen, bei denen Level 1 die geringste und Level 4 die 
hochste Sicherheit bedeuteL 

[0073] ZusStzlich zu dem oben genannten Bewertungsstandard gibt es ein wei teres Kriterienwerk, das vom Zentralen 
KredJtausschuss (ZKA) herausgegeben wild und Zulassungen fur den Betrieb von rKystemen und -Produkten im Be- 
reich electronic cash regelL 

45 [0074] Neben den bereits erwfihnten Bigensehaften der Karten und den zugeteilten Zertiflrierungen gibt es jedoch noch 
eine Reihe weiterer VbrzOge, die nachfblgend kurz aufgelistet sind: 

- Erstellung eigener (sigmertcr) Soft ware u nd Upload auf die Karte mogjich 

- Integrierter Zufallszahlengenerator (PIPS PUB 140-1 zextifiziert) 
50 - DBS, Triple DBS undSHA-1 hardwareseirig implexnenhert 

- RSA-Kcy-Erzeugung und Private/Public Kcy-Verarbeitung fur Schlflsscl bis zu 2048 Bit Lfingc 

- Key Managerncnt-Funktioncn 

- Zerti fikatsimanag Bi pent" I ^mkbx men 

- Zum Tfeil Betrieb rnehrerer Kryptokarten parallel in einem System mfiglich 

55 

Krypto Interface 

[0075] Die im Rahmen der Kryptokartenapplikation sicherheitsrelevantea Funktionen werden direkt in der Karte ge- 
60 speichert und sind dahcr von auBen nur Obex den Kartentreiber zugreifbax Als Schmttstdlc zwischen dem Treiber und 
dem Validation Controller dient die Krypto Interface- Kbmrwneote, welche die Requests flir Prufroutinen per Treiber an 
die Karte weaterleitet. 

[0076] Da mehrere Karten innerhalb eines Rechners zum Einsatz kommen konnen, licgt die Aufgabe des Krypto Inter- 
faces auch darin, eine Lastverteilung der einzelnen Prtlfrequests vorzunehmen. Diese Funktion ist insbesondere dann 
65 zweckmaBig, wenn zusatzlich noch einer oder je nach Briefzentrum mehrere AFM-2D-Code-Leser die Prtrfroutinen des 
Krypto-Systems nutzen. 

[0077] Bine weitere Aufgabe besteht in der Abwicklung der Kommurrikarian zwecks \%rteilung der Schlusseldaten. In 
Stufc 2 existiert eventucll nur ein rudimentfirer Mechanismus v der die zur Sicherheit verschinssclten Schlussel innerhalb 
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einer sigmerten Dalei ubertragt Bine Anfcrderung an das Krypto Interface liegt dann darin, ein Utility berefezusteueu, 
das den Import einer solchen Datei ermoglichL 

Funkdonen des Krypto-Sy stems 

5 

Ablauf der Priifung im Validation Controller 

[0078] ZurPrufung des 2D-Barcodes wild von dem \MdatUm Controller eine zentrale PrfiflEunktion als Schnittstelle 
zu den Scanner- beziehungsweise den Lesesystemen zur \ferfugung gestellt Dies© PriifFunktion koordiznert den Ablauf 
der einzelnen TeilprOfungen. 10 
[0079] Die aus den einzelnen Teil-Prtlfroutinen flbermittelten Codes fur den Entgeltsicherung-Vfarfall werden anhand 
einer voideflnierten Tabelle, die vorzugsweise zentral gepflegt und auf das Krvpto-System Gbertragen wird, in den ent- 
sprechenden Entgeltsicherungs-Code umgewandelt Innerhalb dieser labelle werden zusStzlich Prioritfiten festgelegt 
die regeln welcher Entgeltsicherungs-Code zugewiesen wird, wenn mehrere Entgeltsicherungs-^farfalle erkannt wurden. 
[0080] Dieser Entgeltsicherungs-Code wird anschliefiend zusammen mit eanem beschreibenden Text als PrOfcrgebms 15 
zuruckgelieferL Je nach weiterverarbeitendcm System aufierhalb des Krypto Systems wird dieses Eigebnis dann auf dem 
Funkscanner oder inner halb der Entgeltsicherung-Anwendung ausgegeben, beziehungsweise bed der auto maha c h e n Prii- 
fung in einen TIT2-Code utngewandell und die Sendung damk bedruckt 

[0081] Da die AblBufe zwiscben den Handsc annersystemcn und den automatischen Lesesystemen unterschiedlich 
sind, wird fQr bcide AnwendungsfBlle eine unterschiedliche Funktion iinplementierL 20 
[0082] Je nachdem, welcher Kommunikationamechamsmus zwiscben dem Lesesystem und dem ^Validation Controller 
verwendet wird, unterscheidet sich der Aufruf und die Rflckgabe der Enjebnisse, Im Fall© des Einsatzes eines synchro- 
nen RFC-basierten Protokolls wie Corba/aOP wird die Prufoethode direkt aufgerufen und die Prttfenjebnissc werden 
nach Abschluss der Priifung Obenjeben. Der Client, also der ScannerControllet; beziehungsweise das Lesesystem warten 
mdiesemFaUaufdieAusfimrungu^ 25 
adpooi Yoizusehen, der die parallele Priifung mehrerer An&agen durchfuhren kann, 

[0083] Bei dem asynchronen Mechanismus mittels TGM wird vom Scanner Controller, beziehungsweise dem Lesesy- 
stem, die Pruftnethode nicht dfirckt aufgerufen, sondem es wird ein Telegramm an das Krypto-System gesendet, welches 
die Prfifanfcrderung, den Inhalt des 2D-Barcodes und weitere Infc^mationen wie aktuelles Sortierprogramm enthflli. Bed 
Eingang dieses Telegramms auf dem Krypto-System wird die Pruffimktion aufgerufen, durchgefQhrt und die Lese- und 30 
Prilfergebnisse wiederum als ein neues Telegramm zuruckgesendet Der Vorteil bei dicsem Verfahren liegt darin, dass auf 
dem anf ordernden System der Prozess nicht blockiert wird, bis das Ergebnis voriiegL 



Pruning fur 



35 



[0084] Die Prufroutine fur die Handscannersysteme erwartet als Eingabewcrte die Session-ID sowie den Inh alt de s 2D- 
Barcodes, Als ™*Hf*Xrhar Parameter wird auch noch die ID des Sortierpiogramms erwartet Der zuletzt genannte Para- 
meter dient zur Bestimmung des Mindesientgelts. 

[0085] Fig* 5 zeigt eine Obersicht liber den Ablauf der Prufung innerhalb des Validation Controllers fur den Fall, dass 
diese von eanem Handscannersystem ausgelost wurde. Es wird dabei von einer Prufung nrit einem Funkscanner mit an- 40 
schlieBendem manuellen Vergleich der Anschrift nrit dem 2D-Barcorieinhalt ausgegangen. Bei einem drabtgebundenen 
Scanner wurde die Darstellung analog auf dem Entgeltsicherung-System, beziehungsweise der Entgeltaicherung-An- 
wendung erfolgen. 

[0086] Ein bevorzugter OberprOfungsablauf durch Einsatz eines Funkscanners, eines Scanner-Controllers und einer 
Qberprflfungseinheit (Validation C^troller) ist in Fig. 5 dargestellt 43 
[0087] Die TJberprurungsemheit steuert bei dem daigestellten, besonders bevorzugten AusfUhrungsbeaspifil, einen Ab- 
lauf von Teilprufungcn, wobei die erste lfcilprUfung ein Hnlesen eines in dem digitalea Freimachungsvcrmertes enthal- 
tenen Matrixcodes beinhaltet Der eingelesene Matrixcode wird zunachst von einem Funkscanner an einen Scanner-Con- 
troller ubertragen. Anschliefiend erfolgt in dem Bereich des Scanner-Controllers eine Priifung des Matrixcodes sowie 
eine tJbemrittlung an die tJberprflfungseinheit. Die OberprQrungseinheit steuert eine Aufspaltung des Cc<kanhalls, Das SO 
Leseergebnis wird anschliefiend an die Erfassungseinheit - im dargestellten Fall ein Funkscanner - ubennittelL Hier- 
durch erffihrt beispielsweise ein Benutzer der Lesceinheit, dass es moglich war, den Frcimachun^vermerk zu lesen und 
die in der Matrix enthaltenen Infbrmationen dabei zu erkennen. Anschliefiend entschlflsselt die uberprfifungseinheii ei- 
nen in dem Matrixcode enthaltenen Cryptostring. Hierzu wird vorzugsweise zunachst die \fenrion des voraussichmch fur 
die Erstellung des Freimachungsvermerks cdngesetzten Schlussels uberprutt Anschliefiend wird der in dem Cryptostring 55 
enthaltene Hashwert gepruft 

[0088] Femer erfolgt eine Prufung des vcagesehenen Mirjdest mt gel ts . 

[0089] Aufierdem wird eine LdentifikationsniimmBr (Postage ID) des die Erzeugung des Fr eim nc hun gsvermerks steu- 
ernden Kundensystcms uberpruft 

[0090] Hieran anschliefiend erfolgt ein Abgleich der Mentifikadonsniirnmer nrit einer Ncgativliste. *> 
[0091] Durch diese OberprUfungsschritte ist es in dieser besonders einfachen und zweckmafiigen Farm mdglich, auf 
einf ache Weise unberechtigt erzeugte Freimachungsvermerke zu ernri tteln , 

[0092] Das Ergebnis der Obermittlung wird als eine digitale Nachricht Ubcrmittelt, wobei die digitate Nachricht bei- 
spielsweise an den ursprunglichen Funkscanner Obermittelt werden kann. Hierdurch kann beispielsweise ein Benutzer 
des Funkscanners die Sendung aus dem Scndungslauf ausschleuscn. Bed einer automansierten Durcbfuhrung dieser ^br- 6S 
fahrensvariante ist es jedoch selbstverstandnch gleichermafien moglich, die Sendung aus dem normalen \feraibedtungs- 
lauf der Postsendungen auszuschleusen, 

[0093] Vorzugsweise wird das Ergebnis der Prufung im Bereich der Oberprftfungseinheit protokolliert 
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[0094] A Is Ruckgabewert sollte der zu dem Entgellsichemng- Varf all gehdreode Code und die zugebdrige lextmel- 
duog sowie das 2D-Barcode-Objeki zuruckgegeben wcrden. 

Prufiingsablauf beim AFM-2D-Code-Leser 

[0095] A Is Eingabeparamcter der PrOfioutine ffir den AFM-2B~€ode-Leser wird ebcnfalls die Session-ID, sowie der 
Inhalt des 2D-Baicodes und die eindeutige Kennzeichnung des zur Zeit aktiven Sorderprogramms erwaxtet 
[0096] Fig. 6 zeigt eine Obersicht flber den Ablauf der Prufung innerhalb des Validation Controllers fur den Fall, dass 
diese von einem Lesesystem ausgeldst wurde. 

[0097] In der Abbildung sind zur Veideutlichung des Ablaufc auch zus&zlich das optische Erfassungssystem 0MM- 
System) sowie der AFM-2D-Code-Leser aufgefuhrt, um den Gesanitkontext der Prufung darzustellen* Der Anteil des 
Krypto-Systems beschrinkt sich allerdings darauf, die Funktionen zwischen 2D- Barcode und der ROckgabe sowie der 
Frotokollierung des Hrgebnisses zu priifen. 

[0098] Im Falle der lelegrammmanager-SchnitlsteUe wurden auf dem Validation Controller mehrore Service Tasks ge- 
startet, die auf Pruf an forderu n gste legrarnmc warten und mit dem lb legrarnm inhalt die Mfroutinc aufrufen wurden. Das 
Brgebnis der Prflf routine wild abgewartet und in era Telegramm verpackt und an den Anfosderungsclient zuruckgesen- 
det 

[0099] In Fig. 6 ist eine weitere bevorzugte Ausflihrungsform einer Steuenmg eines Ablaufs von Teilprurungen durch 
die Cberprufungseinheit (Validation Controller) dargestellt Bei dieser weiteren bevorzugten Ausflihrungsform erfolgt 
eine Erfassung der Frcimachungsvermerke durch era automatisches optisches Erkennungssystem (Prima/IMM). Die Da- 
ten werden von der optischen Uberpriifung se inheit zu einer Lese- und Erfassungseinheit (AFM-2D-Code-Leser). 
[0100] Bei der in Fig, 6 dargestellten Ausfuhrungsfbrm des \ferfahrens zum UberprQfen der Guttigkeit von digitalen 
Freimachungsvermerken erfolgt ein Einlesen der digitalen Freimachungsvermerke vorzugsweise in einer noch starker 
automatisierten Weise, beispielsweisc durch optische Erfassung einer Stelle einer Postsendung, auf der vorzugsweise ein 
Freimachungsvermerk angeordnet ist Die weiteren tJberprufungsschritte erfolgen im ^fesentlichen entsprecfaend des 
anhand von Fig. 5 dargestellten Prilfu ngsabLaufs. 

[0101] Der Ruckgabewert der PrQfroutinc bestcht einerseits aus dem Entgeltsicherung-Code und einer zugehorigen 
Meldung sowie dem umgewandelten und um die Postage ID erweiterten Inhalt Aus diesen Ruckgabewcrten wird ein Te- 
legramm erzeugt und an das anfbrdernde Lesesystem Qbermittelt 

Inhaltlicbe Prflfungen 

2D-Barcodeinhalt aufspalten und umfortnen 
Input gescaxmter2D-Baicode 

Beschreibung 

[0102] In dieser Funktion ist der aus 80 Bytes bestebende Inhalt des 2D-Barcodes anfzuteilen und in ein strukturiertes 
Objeto, im Folgenden mit 2D-Barcode-Objekt bezeichnet, umzuwandcln, um eine bessere DarstellungsmogUchkeit so- 
wie eine effizientere Nachbearbei tung zu erreichen. Die einzelnen Felder und Umwandlungen sind in der nachfolgenden 
labelle bescbrieben: 

Bei der Umwandlung der Binar- in Dezimalzahlen ist darauf zu achten, dass das linke Byte einer Bytefblge das hdchst- 
wertige Byte ist Kann eine Umwandlung eventuell wegen eines lypenkonflikts odcr fehlender Daten nicht erfolgen, so 
ist eine Entgeltsicherungs-Vorf alls meldung "PC-F-Barcode nicht lesbar" zu generieren und an den Validation Controller 
zurflckzugeben, Eine weitere inhaltliche, beziehungsweise kryptographische Oberprufung ist in diesem Fall nicht sinn- 
volL 



8 



DE 101 31 254 A 1 



Feld 




umzuwandeln in 


Beachreibung 


Post -Unternehmen 


ASCII (3 Byte) 




keine Dmwandlung 
notwendig 


Prank ieraxt 


Binax (I Byte) 


Small integer 




Vera ioxiakexuQxei chen 


Binax (l Byte) 


Small integer 


Versionenummer dea 
Verfahrens 


Key-Nr. 


Binar (1 Byte) 


Small integer 


SchlOseeltyp 


CryptoString 


Binar (32 Byte) 




Bytefolge iot 
unverandert su 
Obernehmen, nach 
Bnt a chluss e lung 
wird die PostagelD 
herausgespalten 


Postage ZD 




Text (16 Zeichen) 


Wird nach 

Bnt achlnese lung dea 
Cryptoatring 
gefullt ! 


laufende 
Sendungonuramex 


Binar (3 Byte) 


Integer 


nux positive Zahlen 


Produkt achlOa eel 


Binax (2 Byte) 


Integer 


positive Zahlen, 
Verweis auf 
zugehdrige 
Ref erenz t abel 1 e 


Entgelt 


Binar (2 Byte) 


Float 


Dmwandlung in 
positive 
Dezlmalzahl, die 



10 



is 



20 



30 



35 



40 



45 



50 



55 



60 
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durch hundert zu 
teilen let, Angabe ' 
in Buro 


s 


Frankierdatum 


Bin At 


(3 Byte) 


Date 


Nach Umwandlung in 
positive 

Dezimalzahl, l&sst 
eich dae Datum nach 
dem Format YVYTMMDD 
umwandeln 


10 
15 


Empf anger Pt«Z 


Binar 


(3 Byte) 


2 Werte, einen f Or 
Land, einen fur 
PLZ-code 


Nach umwandlung in 
positive 

Dezimalzahl ergeben 
die ereten beiden 
ziffern den Lander - 
code, die fflnf 
rest lichen ziffern 
die PLZ i 


20 
25 


Strafie/Postfach 


ASCII 


(6 Byte) 


Strafienkurzel Oder 
Poetfach 


Handelt ee eich bei 
den ereten ziffern 
urn Zahlen, dann iot 
eine PLZ codiert, 
an sona ten die 
ereten und letzten 
drei Stellen der 
Strafie mit 


30 
35 


Por tores tbet rag 


Bin&r 


(3 Byte) 


Float ♦ 
Wahrungsfeld 
(Text 32 Zeichen) 


Nach Umwandlung in 
eine positive 
Dezimalzahl ergibt 
die erste Zif for 
die Wanning 
<l-Euro) , die 
oachfolgenden vler 
ziffern die 
Vorkomma- und die 
rest lichen zwel 
ziffern die 
Kachkonrnae tel len 


40 


Ha ah -Wert 


Binar (20 Byte) 




Bytefolge 1st . 
unverandext zu 
ubemehmen, dient 

BUT 

krypt ographi schen 
Validierung der 
Frankierung 



Returoweit 2D-BarcodB-Objekt Wunungscode 00 falls Umwandlung OK, ansonsten Warning fUr Entgeltsicherungs- 
Vorfall "PC-F-Baicodc nicht lesbar" 



VBnuo os nu nini cn uirt tfUiuj 

50 

Input aknielles 2I>Barcode-Objdct 

Beschreibung 

55 [0103] Aus den erstcn drei Fddern ISsst sich die Vernon des 2D-Barcodes e&ennen. Hicraus wild auch ctsichtlich, ob 
es sich bei dem Frankiervermerk ubeihaupt urn einen 2D-Barcode der Deutschen Post und nicht urn einen 2D-Barcode 
eines anderen DiensUBisters handelt. Die FeldinhaltB sind mit einer in der Anwendung voriamfigurierten lists gflltiger 
Werte zu vogleichen. Wind keine tJbereinstimmung gefunden, so wind eine EntgeltsicheiungB-Wamung TC-F-^faraion" 
zurQckgeliefert Die tJbeaprafung weiterer inhaltlicher als auch kryptographischcr Aspekte ist dann sinnlos und sollte 

60 nicht weiterverfolgt wcrdcrL 

Retumwert Wamungscode 00 falls Veraompriifung OK, ansonsten Wamungscode fur Entgeltsicherung- Yarfall 
"PC-FAfersion" 

Postage ID uberpnlfen 

65 

Input 2D-Barcode-Objek± mit entschlusseltsr Postage ID 
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Beschreibung 

[0104] Die in dcm 2D-Barcode enthaltene Postage ID ist durch ein Prflfziffiemverfaliren (CRC 16) abgesdehert, das an 
dieser S telle zu uT«rprufen ist Sollte diese Cberpriifang fehlschlagen, so ist als Ergebnis eine Entgeltsichenmg- Wanning 
"PC-F Falschungsverdacht (Postage ID)" zurflckzugeben. Zur Oberprofung der Postage ID ist die vorherige Ent ac hl fla- 
selung des CryptoStrings erfoiderlicb. 

Retumwert Code "00" falls Prflfung OK, ansonsten VVamungscode fur Entgeltsicherung- Vxfall 
"PC-F FalschungsvKdacht (Postage ID) n 

Prflfung der ZeitQberschrcdtung 

Input 2D-Barcode-Objekt 

Beschreibung 

[0105] Diese Funktion dient der automatischen tJbeiprflfung des Zeitintervalls zwischen Frankierung eincr PC-freige- 
tnachten Sendung und deien Veiarbeitung auf detn Briefzentrum. Zwischen beiden Damn darf nur eine bestimrnte An- 
zahl von Tagen liegen. Die Anzahl der Tage richtet sich dabei.nach dem Produkt und dessen Laufzeiten plus einem Ka- 
renztag. 

[0106] Die Konfiguration des Zeitraums wird vorzugsweise in emer Proa\ikt4jultigkeite^ gespeichert 
und im Rah men einer Pflegetnaske zentral gepflegt In der Relation werden zu jedem fur PC-Frankierung mflgl ic h e n Pro- 
duktschlussel (Feld des 2D-Barcodes) die zugehtirige Anzahl Tage, die zwischen Frankierung und Verarbeitung auf dem 
Briefzentrum liegen durfen, festgehalten. La einem vereinfachten Verfahrcn wird nur einc Zdtraumangabe vorkonfigu- 
riert, die sich auf S tandardse ndungen bezieht und als Konstante im System hinterlegt wild. 

[0107] Zur Oberpriifung wild die Anzahl der Tage zwischen dem aktuelien Testdatum bei der Verarbeitung und dem im 
2D-Barcode enthaltenen Datum gebildet, zum Beispiel 02.08. bis 01.08. = 1 Tag. Ist die emritteUe Anzahl Tage groBer 
als der fUr das Produkt vorgegebene Wert so wird der dem Warnungsf all "PC-F-Datum (Frankierung)" zugeordncte Ent- 
geltsicherungs-Code an den Validation Controller zuruckgegeben, anderenfalls ein Code, der die crfolgreiche Prflfung 
dokumentiert Wenn in einem vereinfachten Verfahren immer mit dem Wert fur Standardsendungen verglichen wird, 
so lite nach Ausgabe des Prflfergebnisses die M6glichkeit gegeben sein, bespielsweise manuell fiber eine Taste am Scan- 
ner; dieses Priifergebms zu korrigieren, falls das aktuelle Produkt eine langere Laufzeit zulasst 

[0108] Eine weitere Pruning der Zeituberschreitung bezieht sich auf den Inhalt der Postage ID, Der im Rahmen einer 
Voigabe heruntergeladene Poitobetrag und danrit auch die Postage ID besitzen einen vorgegebenen CT Iri g ke itszekraunt 
in welchem die Sendungen zu frankieren sind. In der Postage ID ist der Zeitpunkt en thai tan, bis zu welchem der Parto- 
betrag gultig ist Ist das Frankierdatum um eine bestimrnte Anzahl Tage grOBer als dieses Gultigkeitsdamm, so wird der 
zur Entgeltskberung-Warnung "PC-F-Datum (Poitobetrag)" gehorende EntgeMcherungs-Wmiungscode zurflckgege- 
ben. 

Retumwert Code "00" falls Priifung OK, ansonsten V^rrnrngKcode fur EntgeltsicheningAfcrfall 
"PC-F-Datum (Portobetrag)" Oder 
"PC-F-Datum (Frankierung)" 



Input 2D-Barcode-Objekt; aktuelle Sootierprogramm-ID 

Beschreibung 

[0109] Innerhalb dieser Funktion erfolgt die Priifung des im 2D-Barcode enthaltenen Entgeltes gegen ein Mindestent- 
geli, das fur S endung en des zugehdrigen Sortierprogramms deflniert ist Bei den Betrfigen handelt es sich um Euro-Be- 



[0110] Die Zuordnungen werden zwischen Sortieiprogramm und Mindestentgelt uber cine automatische Schnittstelle 
gdiefert 

[0111] Ein vereinfachtes Verfahren ist ahntich wie bei der Priifung der Zeitttberschredtung anzuwenden. Hier wird in 
der Konngurationsdatei zu der Anwendung ein konstantes Mindestentgelt deflniert das fur alio Sendungen gilt Daher ist 
die Obergabc des Sorticrprogramms nicht crfoiderlich. 

[0112] Bei der anschlieBenden Pruning wird verglichen, ob das im 2D-Barcode enthaltene Mindestentgell unterhalb 
dieser Marke tiegt Ist dies der Fall, so wird der dem Entgeltsichenings-Vbrfall "PC-F Unterfiankierung" zugeordnete 
Code zurflckgegeben, ansonsten der Erfolgscode. 

Retumwert: Code "00" falls Priifung OK, ansonsten Wamungscode fur Entgelisicherung-\faffall 
"FC-F-Unterfrankierung" 

Abgleich nrit Neganvdafcri 
Input 2I^Barcode-Objekt nrit entschlusselter Postage ID 



[0113] Innerhalb dieser Funktion erfolgt die Prflfung, ob die zu dem 23>Barcode gehorende Postage ID in einer Nega- 
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tivdatei enthalten ist Die Negativdateieo dienen dazu, Sendungen von Kunden, die dutch Missbrauchsversuche aufge- 
f alien sind, beziehungsweise derm PC entwendet wurdc, aus dem Befdrderungslauf beraiiszunctamcn. 
[0114] Die Negativdateien werden dabei zentral ira Rahmen des Projcktes Datenbank Freimachung gepflegt Im Rah- 
meo der Schmttstelle zu diesem Prqjekt ist das \ferfahien ftir den Austausch der Daten auf die dezentralen Briefzentrum- 
S Systeme zu bestimmen. 

[0115] Wenn die Pflegean wendung, beziehungsweise der Daten austausch evcntuell noch nicht existiert, ist trier ein 
ttbergangsmechanisnius zu schaffen. Die Pflege dieser Daten kOnntc ubergangsweisc in einem Excel-Sheet erfolgen, aus 
dem eine cs v-Datei generiert wild. Diese Datei sollte per eMail an die AGB-Prftfer verse trickt und van dieses uber einen 
vorzusehenden Importmechamsmus in den Systemeo eingelesen werden. S pater erfolgt die tJbertragung dann Uber den 

10 innerhalb des bevorzugten Entgeltsicherungs-IT-Feinkonzcptes definierien Weg. 

[0116] Eine Postage ID kennzeichnet eine einzelne Vorgabe, die ein Kunde von dem System (Postage Point) abruft 
Diese Vbrgaben werden in einer sogenannten Safebox auf dem Kundensystem gespeichert Es handeli sich hierbei um 
eine Hardware komponente in Form einer SmartCard inklusive Lesesystem, beziehungsweise eines Dangles. In der Sa- 
febox werden die Vxgabebetrage sicber aufbewahrt und der Kunde kann davon einzelne Frankieiungsbetrage abrufen, 

is ohne online mit der Gebahrenbetragsladestelle (Postage Point) verbunden zu sein. 

[0117] Jede Safe Box ist durch eine eindeutige ID gekennzeichneL Diese Safebox-ID wird in der Negativdatei einge- 
tragen, falls die zugehorigen Sendungen wegen Missbrauchsverdacht ausgeschleust werden sollen. Die Safebox-ID ist 
aus mehieren Feldem zusammengesetzt. Neben dem eindeutigen Schlussel sind in der Safebox-ID auch weitere Felder 
wie Gulrigkeitsdatum und Prufziffer enthalten. Zur eindeutigen Identifizierung der Safebox sind die ersten drei Felder 

20 der Safebox-ID maBgeblich. Diese finden sich auch in den ersten drei Feldern der PostagelD wieder, wodurch die Zuord- 
nung zwischen Safebox und Mngabe erfblgen kann. Die Felder sind in der nachfolgenden l&belle beschrieben: 





Byte Kr. 


L&nge 


Bedeutung 


Dateninhalt 


Koamentar 




bl 


1 


Anbieter- 


00 


nicht benutzt 


25 






Rennze ichnung 


01 


Test - Anbie ter : 
Poe t vera and - 

VntgTTI f^hlB** 1 ! 


30 








FF 


Postage- Point - 
Box des 
Postversnnd~ 
unternehmene 


35 
40 


b2 


1 


Zugelaseene 
Modell -Kr. 


XX 


FQr jeden 
Hers teller von 
01 (erstee 
eingereicntes 
Modell) 

aufsteigend fur 
jedes neu 
zugelaseene 
Modell zu 
be leg en. 


45 


b3, b4, b5 


3 


Seriennummer 
dee Modelle 


XX XX XX 


Fur jedes 
zugelaesene 
Modell jedes 
Herstellers von 
00 00 01 ble 
FF FF FP 
aufsteigend zu 
belegen. 



SO [0118] Sind die ersten drei Felder der Postage ED der aktuell geprQften Fnmkierung identisch mit den ersten drei Fel- 
dern einer in der Negativdatei enthallenen Safebox-ID, so wird der innerhalb der Negativdatei dem Kunden zugeordnete 
Entgeitsichenmg- Vbrfall zurflckgegeben, ansonsten der Erfblgscode, 

Returnwert Code "00" falls Prufung OK, ansonsten dem Kunden, beziehungsweise der Safe-Box in der Negativdatei zu- 
geardneter Wamungscode 



Vergleich 2D-Barcodeinhalt mil Sendungsklartext 

Input 2D-Barcode-Objekt 

60 Beschreibung 

[0119] Um zu verhindern, dass Kopien von 2D-Barcodes exstellt werden konnen, wird ein \fergleich zwischen den im 
2D-Barcode kodierten Sendungsdaten und den auf dem Brief im Klartext angegebenen Daten durchgefuhrt Dieser Nfcr- 
gleich ist bei den Funkscannem direkt moglich, da dort ausreichende Darstellungs- und Emgabemoglichkeiten vorhan- 
65 den sind. Bei den Handscannern mit Drahtanbindung ist die Prufung auf dem PC (Entgeltsicherung-System) vorzuneh- 
men. 

[0120] Der Ablauf sieht so aus, dass der Validation Controller nach Ablauf der automansierten Prufungen die Ausgabe 
der Daten des 2D-Barcodes auf dem Funk scanner, beziehungsweise auf dem Entgcltsicherungs-FC, veranlasst. Hierzu 
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steht ifam eine Callback-Methode zur VerfQgung, die am Anfang dner Sitzung zugeordnet wild. 

[0121] Diese ruft er mit dem aktuellen 2D- Barcode -Obj ekt auf. Daraufhin sind der Scanner Controller, beziehungs- 

weise dear Entgeltsicherung-PC fur die Darstellung des 2D-B arcodeinhalts verantwortlich und lief cm als Retumwert 

(nach Bearbeitiing duich den Priifer) der Callback-Metfaode eine "(XT, bezLehuqgsweise einen zugehorigen Fehleroode 

zuruck. 

[0122] Bei erfolgreicher Aiiswertung wird der Erfolgscode, ansonsten der Code der Entgeltsicheruiigs-Wummg "PC- 
F-Klartext" zurUckgegeben. 

[0123] Bei einer autornatischen Prtirung ist diese PrOfung nicht erforderlicfa. Hier kann die Prufung vorzugsweue im 
Rahmen der zentralen Auawertungen offline entweder nrittels Umaatzvergleicben oder fiber einen Vergleich der Zielpost- 
leitzahl mit der im 2D-Barcode enthaltenen Postleitzahl erfolgen. 

Retumwert; Code p 00" falls PrOfung OK, ansonsten Wamungscodc fur EntgeltsicherungAfarfall 
"PC-F-Klartext" 

Kryptographische PrQfungen 
[0124] Die kryptographische Prttfung besteht aus zwei leilen: 

a) der Entschlusselung des Cryptostringa und 

b) dem Hashwert- Vergleich, 

[0125] Beide Verfahren sind in dem gesebfitzten Bereich der Kryptokarte riurchzufPhren, da ein Kunde bei Ausspio- 
nage der bei der \ferarbentung qnfaltflnAm Information, giiltige Frankierungshashwerte erzeugen konnte, 

Cryptostring entschlusscln 

Input 2I>Barcode-Objekt 

Beschreibung 

[0126] Als Bingangsrjararneter erhait diese Punktioo das aufgesplittete 2D-B arcode- Obj ekt des Scaneigebmsses. Es 
wird anhand des Frankierungsdaiums und der Key-Nummer der fUr diesen Zeitpunkt gultige symmetrische ScfalOssel 
herausgesucht und der CryptoString des tlbergebenen Objektes mit Hilfe dieses SchlOssels nach dem \ferxahren Triple 
DES CBC entschlusselt. Mit welch em Wert der ImtiaHsierungsvektor varzubelegen ist, beziehungsweise ob nrit Inner- 
oder Outerbound-CBC und mit weLcber BlocklSnge gearbeitet wird, wird im Rahmen der Schnittstelle zu dem Entgell- 
sicherungssystem entschieden. 

[0127] Sollte der in dem 2D- Barcode enthaltene Schlussel auf dem Kryptosystem nicht vorhanden sein, so wird die 
Entgeltsichexung-Warnung "PC-F Falschungsverdacht (Schlussel)" mit der Fehlerrneldung, dass der Schlussel mil der 
Key-Nummer nicht gefunden wurde, zurUckgegeben. 

[0128] Das Ergebnis der Operation besteht aus der entschlusselten Postage ID, sowie der entschlOsselten ZufallszahL 
Die entschlQsselie Postage ID wird in einem entsprechenden Feld des 2D-B arcode-Objektes eingelragen. Die Zufa lls z ahl 
sollte aus Sicherheitsgrunden nicht bekannt gemacht werden, da der Kunde bei Besitz dieser Information gultige 
Hashwerte erzeugen und daunt 2D-B encodes falschen kdnnte, 

[0129] Im Anschluss an die Entschlusselung wird aus der Metbode beraus die Hashwertberechnung aufgerufen und de- 
ren ROckgabe wert zurOckgegeben. 

Hashwer&erecbnung 

Input: 2D-Barcode-Objckt entschlUsselte Zufallszahl aus dem Cryptostring (die entschlusselte ZufaUazahl darf nicht au-, 
fierhalb der Karte bekannt sein) 

Beschreibung 

[0130] Die Funktion der Hashwertberechnung ermittelt aus den im 23>Barcode-Objekt enthaltenen Original- Scanov 
gebnis die ersten 60 Bytes. Daren werden die entschlusselte Postage ID, sowie die fibenjebene entscfalusselte Zufallszahl 
angehangt Hieraus wird nach dem Verfahren SHA 1 ein Hashwert berechnet und mit dem im 23>Barcode-Objekt ent- 
haltenen Hashwert des 2D-Barcodes verglichen. Stimmen alle 20 Bytes Oberein, so ist die kiyptographische Oberprufung 
erfolgreich, und es wird ein entsprechender Ruckgabewert zuruckgeliefert 

[0131] Bei Nichtuberemstimmung wird eine Bntgeltsjcnerung-Warnung "PC-F-Falschimgsverdacht (Hashwert)" an 
den Validation Controller zurUckgegeben. 

[0132] Als Ruckgabewert wird zus&tztich der errechnete Hashwert ubernrittelt, danrit dieser bei dem Prafergebnis mit 
ausgegeben werden kann. 

Retumwert: errechneter Hashwert Code "00" falls Prufung OK, ansonsten Waraungscode fur Entgeltskherung- \farfall 
"FC-F-Falschimgsverdacht (Hashwert)" oder 
"PC-F-Falschungsverdacht (Schlussel)" 

Ergebrnsausgabe 

PrUf- und Lcscergebnis darstellen 
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Beschreibung 

[0153] Ober eine CaUback-Methode hat dor Validation Controller die MSgtichkeit, eine Eigebmsausgabe auf dem zur 
H frtiy11«" Prufung gehorenden Ausgabegeriit anzusteuern. Hierzu flbergibt ex dieser Callback-Methode das 2D-Barcode- 
Objekt und den exmittelten Entgeltschenrng-Warnungscode, Als Rflckgabewert kann der Code des von dem AGB-PrQ- 
fer ausgewShllen Nachbearbeitungsverfahrcns geliefeit werden. 

[0134] Die Callback-Methode fur die Ausgabc wind, ebenf alls zu Begirm der Session, bei der Anmeldung am Valida- 
tion Controller zngewiesen. 

Ergebmsprotokollierung 
Input ZD-Barcode-Objekt Code des Priifergebnisses 

Beschreibung 

[0135] Die ErgebnisprotokoUierung erfolgt in einem vereinf achten Verfahren in einer Dated auf dem System, auf dem 
der Validation Controller lSuft In der Regel werden die Ergebnisse, beziehungsweise Be ri c htigung ssfltze direkt an BDB 
flbertrrittell und uber die bevorzugte Entgeltsichmings-BDE-ScbiritUtelle in die Datenbank des bevorzugten lokalen Ent- 
geltsicherungs-Systems geschrieben. 

[0136] Vorzugsweisc werden die Postage ID, die fortlaufende Nummer, das Frankierdatum, das Entgelt, der Produkt- 
schliissel, die PLZ, der Enlgeltsicbenmgs-Eigebmscode, der Meldungstext, die Dauer der Priifung, der Zeitpunkl der 
Priifung, die ID des Scanners, die Betriebsart des Scanners, der Erfassungsmodus, sowie die ^iterverarbeitungsart ge- 
speicherL A lie Wette werden durch ein Semikolon voneinander getrermt in jeweiis einem Satz pro Sendung ausgegeben 
und sind so zum Beispiel in Excel weiter auswertbar. 

[0137] Befindet sich das System in der Betriebsart "Ersterfassung", so ist in der Spake Erfassungsmodus ein "e", an- 
sonsten ein "n" fur Nacfaertassung einzugeben. 

StamrndatenbereitsteUung 
Beschreibung 

[0138] For die inhaltliche OberprOf ung sind eine Reihc von Stammdaten notwendig. Es handelt sich hierbei urn: 

- PC-F-Negativdatei 

- Sortierpiogramme und Mindestentgelte 

- AUgerneines Mindestentgell 

- PtoduktschlusselPC-F 

- Ma*?*""*- Einlieferungsaeit je Pm rfnktechlflmB l PC-F 

- All g emgine maximale FJnligfi&nmg ^ggi t 

- Entgeltsicherung-VbrftUe, Prioritfiten und Zuordnung zu Weiterbehandmngsanweisiingen 

- l^terbehandlungsanweisungen 

[0139] Stammdaten konnen in einer Obergangszeit mit Ausnahme der PC-F-Negauvdatei sowie derkryptograrrfrischen 
SchlOssel der GebUhjOTbetragsladcstelle (Poltagc Point) test vorkonfiguriert werden. 

[0140] Falls notwendig, konnen fur einen Tea der Daten einfache Bearbeitungs- und ^ferteilanwendungen irnplemen- 
tiert werden. Die Pflege sollte dann in einem Excel-Sheet erfolgen, aus dem eine csv-Datei generiert wird. Diese Dated 
sollte per eMail an die AGB-Prflfer verschickt und von diesen Uber einen vorzusehenden Mechariismus in den Systemen 
eingelesen werden. ■ m 

[0141] In der Regel werden die Daten entsprecbend dem im Bevarzugte ^tgeltsichenrng-rT-Feinkrinyfyt: beschnebe- 
nen Verfahren verteilt, beziehungsweise ein ZugruT auf diese Daten e rmflglicht . 

[0142] Die zugehorigen Datenstrukturen werden im Datenmodell zum Feinkonzept Bevorzugte Entgeltsicherung be- 
sch rieben - 

Verteilung der Schlusseldaten 

[0143] Die syinmetrischen SchlOssel, die auf der Gebumrobetragsladestelle (Poltage Point) zur Abricherung der 2D- 
BaTTOdeinnalte dienen und welche das Krypto-System zur Validierung benQtigt, werden aus Sicherbeitsgriinden in regel- 
maBigen Abstflnden ausgetauscht Bei Einsatz in alien Brietzentren mussen die SchlOssel vom (Postage Point) zu den 
Krypto-Systemen automatisch und sicber Qbertragen werdea 

[0144] Der Austausch sollte dabei Obex den bevorzugten Entgeltsicherungs-Server erfolgen, da bei der GebQhrenbe- 
tragsladestelle (Postage Point) nicht konfiguriert werden soUte, welche bevarzugten lokalen Enlgeltsicherungs-£ysteme 
und welche Krypto-Systerne dazu existieren. 

[0145] Besonders bevorzugte \ferfahrensschriUe fur einen Austausch von Senilis sein sind in Fig. 7 dargestellL Der be- 
vorzugte Schliis selaustausch erfolgt zwischen einer zentralen Ladest eUe (Postage Point), einem zentralen Crypto Server 
und rnehrcren lokalen Crypto Servern. 

[0146] Da die symrnetrischen SchlOssel von groSer Bedeutung fur die FalschungssicherhBit der ZD-Barcodes sind, 
muss der Austausch durch starke Kryptographie und durch eindeutige Authennsierung der Kommunikationspartner ab- 
gesichert sein. 
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KonfigurHtion 

Grundkonfiguration/Key Management der Crypto Hardware 

[0147] Fur die Grundkonfiguration der Kryptokarte sind versctriedene MaBnahrneo notwendig. Sie sollien durch einen 
Sicherfaeitsadrnimstator durchgefuhrt werden. Es handclt sich dabei grab urn folgeode TSligkeiten: 

- Installation des Software-APIs auf der Karte 

- Generierung, beziehungsweise Installation der pnvaten Schlfissel zur Absichening von Adrnimatra t i on sanwen- 
dungen und einzuspielender Software 

[0148] Je nach ausgewShltem Kartentyp und -hersteller sind dabei unterschiedliche Mafinahmen notwendig. 

[0149] Die fDr das bevorzugte Entgeltsicherungs-System vorgeseheoe anwendungsbezogene Grundkonfiguration der 

Kryptokarte besteht aus folgenden Schritten: 

- Sicherc Verschlus selling und Obertragung der symmetrischen SchlOssel auf die Karte - beispielsweise RSA- 
Schlusselpaar - bei gleichzei tiger Zertifikatserzeugung fur den Public Key und Ausgabe des Keys 

- Zertifikat der GebuhrenbetragsLadestelle (Postage Point) test vorkonfigurieren zur SicherateUung, dass der zu im- 
portierende SchlOssel von der GebOhrenbetragsladestelle (Postage Point) ausgestellt wurde. 

Grundkonfiguration der Kryrrtp-System-Appl ikatirm 

[0150] Jeder Scanner, jeder Benutzer und jede Kryptokarte innerhalb des Krypto-Systems muss durch einc eindeutige 
ID gekennzeichnet sein. Letztlicb ist auch jeder AFM-2D-Code-Leser durch eine eindeutige ID zu ideritifizieren, 

Login/Logoff 

[0151] Zu Beginn einer Session rrdt dem Validation Controller muss ein Login erfblgen. Dieses Login enthfflt als Pa- 
rameter die Scanner-ID, die User ID, sowie die Callback-Methoden fur die manuelle Prfifung, beziehungsweise die Aus- 
gabe der Lese- und PruTcrgebnissc, 

[0152] Als RQckgabewert wind eine Session-ID zurQckgeliefert, die bei folgenden Prufungsaufrufen innerhalb der Sit- 
zung mil zu ubergeben ist Zu der Session ID wird auf dem Validation Controller ein Session Context gespeichert, in dem 
die Ubergabeparameter gespeichert sind. 

[0153] Nimmt der Benutzer wShrend seiner Sitzung Anderungen an der Bctriebsart, an dem vcrdefinierten Produkt, 
beziehungsweise an weiteren zur Laufzeit konfigurierbaren Sitzungseinstellungen vor, so werden diese Anderungen in 
den dafur zugeardneten Vferiablen innerhalb des Session Contextes nachvoUzogen. 

[0154] Bei einem Logoff wird der Session Context entsprechend geldscht Nachfblgende Priifungsaurrure mit dieser 
Session ID werden abgewiesen. 

[0155] Die Verwaltung von Benutzern und Passwortem ist in einem allgerneinen Benutzerverwalmngskonzept fur be- 
vorzugte Entgeltsicherung zu definieren, das Bestandteil des Feinkonzeptes bevorzugte Entgeltsicherungs-IT ist 
[0156] Die Lesesysteme roussen sich vor der Durchfuhrung von Prurungsarifragen bed dem Validation Controller regi- 
strieren las sen. Als Parameter ist die ID des Lesesystems sowie ein Pass wort zu ubergeben. Als RQckgabewert wird bei 
erfolgreicher Anmeldung ebenfalls eine Session ID zuruckgeliefert, die bei den folgenden Oberprufungsanfragen zu 
fiberrrritteln ist 

[0157] Bei einem Shutdown des Lesesystems muss ein entsprechender Logoff rrdt dieser Session ID erfblgen. 

Sonstiges 
Spezielle Benutzerrollen 

[0158] Im Rahmen des Sicherheitskonzepts sind zwei spezielle Benutzerrollen vorzusehen, die von zwei unterschied- 
lichen Personen auszufQllen sind. 

DerMe S ichei^itsajdmiiiistrator(in) 
[0159] Die Roue der Sicherheats administration umfasst die folgenden Aufgaben: 

- Erstellung von Befehlsdateien zur Administration der Krypto-Karte 

- Signierung dieser Bcfehlsdateien 

- TnStialigi pmTTig ittwI >ferwaltung ^gr 'giypfo-'gqrton 

- Kontrolle der aufzusraelenden Software und der zugehbrigen Konfiguration 

[0160] Der Sictiemeiteadrnimstrator authentisiert sich mit dem Private Key zur KartenadmmistratiocL Dieser ist auf ei- 
ner Diskette oder Smart Card gespeichert und muss von dem Skherheitsadminifrtrator streng unter Nferschluss gchalten 
werden. 

[0161] Nur mit diesem Schlfissel signierte Admijiistrariorisbefehle lassen sich auf der Krypto-Karte ausfuhren. Da 
durch diesen Mechanismus die Befehlssequenz und die zugehorigen Parameter geschOtzt sind, kann die Ausfunrung die- 
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sex Befehle auch an SysteTOadnrinistrataren var Qrt delegiert werden. Der S icherhedtsachni nistrator muss dazu die Be- 
fehle zur VerfQgung stellen und eine entsprecfacnde Verfahrensanweisung schicibcn. 

[0162] Eine weitere Aufgabe besteht in der Verwaltung der Krypto-Karten, wobd zu jcder Karte die Seriennummex; 
die Kcnfiguration und die Systemnummer des Systems, in welchem diese installiert sind, sowie der Standort des Systems 
5 festgehalten werden. Bei den Reserve- KryptoKarten wild femer testgehalten, in wesson Besitz sich die Karten befinden, 
[0163] Zusammen mit dern QS-Manager Sicherbeit kontrolliert er die Softwarequellen und die zugehorigc Softwarc- 
konfiguration und gibt diese zur Installation frei. 

[0164] AuBerdem erfolgt eine Prufung der auf der Karte und auf dem Xrypto Server zu installierenden, beziehungs- 
weise installierten, Software sowie eine Freigabe und Sigmerung der Kaitensoftware. 
10 [0165] Die Karten software ist speziell daraufhin zu prufen, ob an irgendeiner S telle einer der gehcimen Schlttssel Obex 
die Treiberscfanittstelle nach auBen gegeben werden kann, beziehungsweise ob doit Manipulationsversuche wie zum 
Beispiel die Speacherung konstanter voidefinierter Schlttssel oder die Verweodung unsicherer Verschlus selungsverfahren 
vorgeoommen wurden. ZusaMzlich zur Kartensoftware ist auch die mit ihr in \ferbindung stehende An wendungs software 
des Krypto Servers zu prufen. 

is [0166] Die Authentisierung erfolgt genauso wie bei dem Skberneitsadrninistrator mit einem Private Key. Es handelt 
sich bierbei jedoch urn den Private Key zur Sortwaxedgmerung. 

[01177] Es besteht hier jedoch eine zusStzliche Sicherbeit darin, dass zur Installation der Software nicht nur die Soft- 
ware zu sigmeren ist, sonoern auch der zugehorige InstallationsbefehL Da hierfur zwei verscrnedene Personen (Qs-Ma- 
nager und S icherhritsadmini strator) zustandig sind und dadurch, dass die zugehorigen Scblflssel an zwei unterschicdli- 
20 chen Orten aufbewahrt werden, ist bier ebenfalls eine hone Sicherbeit gewanrleistet 

[0168] Die Distribution der Software wird von dem QS-Manager Sicherbeit in Abstimmung mit dem Sicherbeits admi- 
nistrator yorgenommen . 

[0169] Diese be Bonders be vorzugte Ausfunrungsform der Erfindung sieht somit zwei verschiedene Authentisierungs- 
schlussel vor, so dass die Datensicherheit erbeblich erhfiht winL 
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Fatentanspruche 

1. Verfahren zur "OberprDfung derEchtbeit eines auf einer Postsendung aufgebrachten FreimachimgHvemierks, wo- 
bd in dem Freimachungsvermerk enthaltene kryptographische Inforrjiationen entschlusselt und zur Oberprttfung 

30 der Echtheit des Freirnachungsverrnerkes eingesetzt werden, dadurch gekemizeichiiet, dass die Leseeinheit den 

rreimachungsvermerk graphisch erf asst und an eine Oberprflf ungseinheit uberrnittelt, und dass die tFberprQfungB- 
einhedt einen Ablauf von TeilprOfungcn steuext. 

2. verfahren nach Anspruch 1, dadurch gekennzeichnet, dass eine der leilprfrfungen die BntscMfisselung der in 
dem Freimachungsvertnerk enthaltenen kxyptographischen Infbrmationen beinhaltet. 

35 3. Verfahren nach einem oder beiden der Ansprtiche 1 oder 2, dadurch gekennzeichnet, dass eine der Teilprtifungen 

einen Vergleich zwischen dem Erzeugungsdatum des Freimachungs vermerkes und dem aktueHen Datum beinhaltet. 

4. verfahren nach einem oder mehreren der vorangegangenen AnsprOche, dadurch gekennzeichnet, dass die Lese- 
einheit und die OberprOfungseinheil trrittela eines synchronen Protokolls Information en ansta us chen. 

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das Protokoll RPC basiert ist. 

40 6. verfahren nach einem oder mehreren der AnsprOche 1 bis 5, dadurch gekennzeichnet, dass die Leseeinheit und 
die t)beiprufungseinbeit iiber ein asynchrones Protokoll rrriteinander tamimunizjeren, 

7. Verfahren nach Anspruch 6, dadurch gekrenn 7jp.i rhn , dass die Leseeinheit ein Datentelegramm an die Oberprtt- 
fungseinheit sendet 

8. verfahren nach Anspruch 7, dadurch gekennzeichnet, dass das Datentelegramm den Inhalt des Freimachungs- 
45 vermerks enthaTt, 

9. Vsrfahren nach einem oder mehreren der AnsprOche 1 bis 8, dadurch gekennzeichnet, dass das Datentelegramm 
eine Anforderung zum Starten einer kryptographiscben Oberprflrungsroutine enthfilL 

10. Verfahren nach einem oder mehreren der AnsprOche 1 bis 9, dadurch gekennzeichnet, dass durch ein Krypto- 
Interface eine Lastvexteilung zwischen mehreren Uberprufungsrmtteln erfolgt 

SO 11. Verfahren nach einem oder mehreren der AnsprOche 1 bis 10, dadurch gekennzeichnet, dass der Inhalt des Frei- 

machungsvermerks in einzelne Felder aufgeteilt wird. 

12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass eine Ldenn^katicfisnummer (Postage ID) des die 
Erzeugung des Freimachungsvermerks steuernden Kundensystems aus dem Freimacjhungsvei "ml* ermittelt wird. 

13. Verfahren nach einem oder mehreren der vorangegangenen AnsprOche, dadurch gekennzeichnet, dass rirrcnelne 
55 Kundemystemidentifikadonsangaben (Postage ID) in einer Negativdatei erf asst und die zu cHeser Postage ID geho- 

renden Sendungen aus einem normalen Bearbeitungsverlauf von Postsendungen ausgeschlcust werden. 

14. Verfahren nach einem oder mehreren der vorangegangenen Anspruche, dadurch gekennzeichnet, dass eine in 
dem Freimachungsvermerk enthaltene verschlflsselte Angabe einer Empfangeradresse mit einer fur die Beforde- 
rung der Postsendung angegebenen Ernpfangeradresse vergiichen wird. 

60 15. Verrahren nach einem oder nrcbxeren der AnsprOche 1 bis 14, dadurch gekcrmzeichnet, dass OberprOrungspa- 

r a me t er des Verfahrens geandert werden loflnnen, 

16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass eine Anderung von Veriahrensrjararnetern nur nach 
Eingabe eines personlichen ctigitalen Schlussels (Private Key) eines Systemacrmimstrators erfolgt. 
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